1 Tổng quan Access-list: Access-list (ACLs) danh sách câu lệnh áp đặt vào cổng (interface) router (switch) Danh sách cho router (switch) biết loại packet chấp nhận (allow) loại packet bị hủy bỏ (deny) Sự chấp nhận huỷ bỏ dựa vào địa nguồn, địa đích số port Có loại access-list: 2.1 Standard IP Access-list (Standard ACLs) Loại lọc(filter) liệu dựa vào địa IP nguồn Range loại từ 1->99 Khuyến nghị nên áp dụng với cổng gần đích (đặt gần đích traffic)-Destination Có bước để tạo ACLs IP Standard: B1: Định nghĩa danh sách ACLs để đặt vào interface (config)#access-list [#number] [permit | deny] [wildcard mask] [log] Hoặc : (config)#access-list [#number] [permit | deny] [host | any] B2: Đặt danh sách(ACLs) vào interface router(switch) mà ta muốn chặn gói tin (config)#interface [interface-number] (config-if)#ip access-group [#number] [in | out] Ví dụ: (config)#access-list deny 172.16.0.0 0.0.255.255 (config)#access-list permit any (config)#interface fastethernet 0/0 (config-if)#ip access-group in 2.2 Extended IP Access-list (Extended ACLs) Loai lọc(filter) liệu dựa vào: Địa IP nguồn, Địa IP đích, Giao thức (TCP, UDP), Số cổng (HTTP, Telnet…), Và thông số khác Windcard mask Range loại từ 100 ->199 Khuyến nghị nên áp dụng với cổng gần nguồn (Source) Có bước để cấu hình Extended IP Access-list: B1: Tạo access-list chế độ cấu hình config router(config)#access-list [#number] [permit | deny] [protocol] [wildcard mask] [source port] [destination address] [wildcard mask] [destination port] [log] B2: Áp dụng access-list cho cổng tuỳ theo yêu cầu chế độ cấu hình (config-if) (config)#interface [interface-number] (config-if)#ip access-group [#number] [in | out] Lưu ý: - Mặc định tất Access-list deny all, tất access-list tối thiểu phải có lệnh permit Nếu access-list có permit deny nên để dòng lệnh permit bên - Về hướng access-list (In/Out) áp dụng vào cổng hiểu đơn giản là: In từ host, Out tới host hay In vào Router, Out khỏi Router - Đối với IN router kiểm tra gói tin trước đưa tới bảng xử lý Đối vơi OUT, router kiểm tra gói tin sau vào bảng xử lý - Wildcard mask tính công thức: Wildcard Mask = 255.255.255.255 – Subnet mask (Áp dụng cho Classful Classless addreess) - Địa 0.0.0.0 255.255.255.255 = any - Ip_address 0.0.0.0 = host ip_address (chỉ định host ) Ví dụ: (config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet (config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.2 eq ftp (config)#access-list 101 permit any any (config)#interface fastethernet 0/0 (config-if)#ip access-group 101 out Cấu hình tên access-list (named ACLs) thay cho số hiệu (config)#ip access-list extended tgm-access (tên access-list) (config-ext-nacl)#permit tcp any host 192.168.1.3 eq telnet (config)#interface fastethernet 0/0 (config-if)#ip access-group tgm-access out Permit Deny Telnet sử dụng Standard Acl (config)#access-list permit 172.16.0.0 0.0.255.255 (config)#access-list deny any (config)#line vty (config-line)#password cisco (config-line)#login (config-line)#ip access-class in Kiểm tra xoá Access-list (ACLs) - Hiển thị tất ACLs sử dụng (config)#show running-config - Xem ACLs hoạt động interface (config)#show interface [#number] - Xem việc đặt hướng ip ACLs (config)#show ip interfaces [#number] - Xem câu lệnh ACLs (config)#show access-list [#number] - Hiển thị tất ip ACLs show ip access-list - Hiển thị ip ACL 101 show ip access-list 101 - Xóa đếm (to clear the counters use) (config)#show access-list [#number] (config)#clear access-list counter [#number] - Xóa Access list (config)#no ip access-list [standard-extended][#number] (config)#interface [interface-number] (config-if)#no access-list [#number] [permit deny] [wildcard mask] Một số port thông dụng: ——————————————————————– Port Number ——-TCP port names —-UDP port names ——————————————————————– ———————-TCP————————————– 21———————-FTP————————————– 23 ———————TELNET——————————– 25 ———————SMTP———————————— 53———————————————-DNS————69 ———————————————TFTP————80 ———————WWW———————————– 161 ——————————————–SNMP———– 520 ——————————————–RIP———— ... tra xoá Access-list (ACLs) - Hiển thị tất ACLs sử dụng (config)#show running-config - Xem ACLs hoạt động interface (config)#show interface [#number] - Xem việc đặt hướng ip ACLs (config)#show ip... (config)#show ip interfaces [#number] - Xem câu lệnh ACLs (config)#show access-list [#number] - Hiển thị tất ip ACLs show ip access-list - Hiển thị ip ACL 101 show ip access-list 101 - Xóa đếm (to clear... sách ACLs để đặt vào interface (config)#access-list [#number] [permit | deny] [wildcard mask] [log] Hoặc : (config)#access-list [#number] [permit | deny] [host | any] B2: Đặt danh sách(ACLs)